顧客情報保護のための体制と関連法令 後編 | 弁護士法人あいち刑事事件総合法律事務所が解説

2025/04/14

弁護士法人あいち刑事事件総合法律事務所が営業秘密の保護，特に中小企業における顧客情報の保護に必要な態勢の構築や関連法令を解説します。前後編の後編として，具体的な対策，企業が抱える課題について深堀します。

営業秘密・顧客情報を守るための社内体制と具体的対策

営業秘密を確実に保護するには、日頃から企業内で計画的な情報管理体制を構築し、多方面から対策を講じておくことが不可欠です。中小企業の場合、大企業ほど大掛かりな設備投資は難しくても、工夫次第で最低限必要な安全策を講じることが可能です。以下に、実務上とるべき具体的措置を整理します。

１　秘密情報管理ルールの整備（就業規則への明記）

社内規程として秘密情報の定義や管理方法、禁止事項を定めましょう。就業規則に「どの情報が営業秘密に当たるか」「営業秘密を扱う際の遵守事項」「営業秘密を漏えい・不正利用した場合の懲戒処分」等を明文化し、全従業員に周知します。これにより社員は何が秘密かを認識しやすくなり、うっかり漏えいのリスクも減らせます。また社内研修を定期的に実施し、営業秘密の重要性と守秘義務について継続的に教育することも大切です。

弁護士法人あいち刑事事件総合法律事務所では社内研修についてもご相談いただけます。

講演・研修のご案内

２　従業員や関係者との秘密保持契約（NDA）の締結

従業員を雇用する際や取引先と機密情報を共有する際には、必ず秘密保持契約NDA: Non-Disclosure Agreement を結びます。契約によって守秘義務を明確に認識させ、情報を外部に漏らさない旨の誓約を得ることは、現在では基本中の基本と言えます。特に社員とのNDAは「退職後も守秘義務が続く」ことを明記できるため、不正競争防止法上の義務と相まって抑止力になります。取引先や外部委託先についても、契約段階で必要な秘密保持条項を盛り込み、営業秘密や顧客データを渡す場合は目的外利用禁止や再提供禁止を取り決めておきましょう。
参考　秘密保持契約とは？（外部サイトにリンクします）

３　アクセス権管理と物理的・技術的なセキュリティ措置

秘密情報へのアクセスは「知る必要がある人」だけに限定します。社内で営業秘密を管理する際は、それが営業秘密であることを明示し（ファイルや資料に「社外秘」「Confidential」など表示）、紙媒体であれば鍵付き棚に保管、電子データならパスワードや暗号化でロックするなど厳重に管理します。さらに共有フォルダやシステム上のアクセス権限を設定し、一部の限られた担当者のみが当該情報に触れられるようにすることで、万一社内に不正者がいても被害を最小限にとどめられます。物理的にはオフィスへの入退室管理や機密エリアへの立入制限、技術的にはファイアウォールやウイルス対策ソフトの導入、USB等外部記録媒体への書き出し制御（必要に応じて禁止措置）も講じましょう。また、重要データはバックアップを取りつつ外部ネットワークから切り離した安全な場所に保管するなど、サイバー攻撃による破損・消失への備えも必要です。

４　人的対策と退職・転職時の対応

ヒューマンエラーや内部不正を防ぐため、人の面からの対策も欠かせません。日頃から従業員に対し情報管理の倫理教育を行い、機密情報を扱う際は注意深く行動する企業文化を育てます。また従業員の退職時には、会社貸与PCやデバイスの速やかな回収、私物へのデータコピーがないかの確認、メールやクラウドストレージの利用履歴チェックなどを行い、不正な持ち出しが無いことを確認します。必要に応じて退職者に秘密保持契約書の再確認や念書を書いてもらい、退職後も守秘義務が続くことを念押しすることも有効です。昨今はテレワーク等で社外から社内データにアクセスする機会も増えていますが、自宅作業時のルール（画面を他人に見られない、デバイス紛失時の報告等）も定めておき、社内外を問わず情報管理体制に隙が生じないようにしましょう。

以上のような対策を講じておけば、不正競争防止法上の「秘密管理性」の要件も概ね満たすことが期待できます。ポイントは、単一の施策だけで安心せず多層的な防御策を組み合わせることです。特に中小企業では人員や予算に限りがありますが、社員一人ひとりの意識向上と簡易なルー_ルの徹底からでも十分効果は現れます。自社の状況に合わせて無理のない範囲から着手し、徐々に管理レベルを高めていくことが重要です。

情報漏えいのリスクと中小企業が直面する課題

どれだけ対策を尽くしても、情報漏えいのリスクをゼロにすることは困難だといわれます。企業が備えるべき脅威は大きく分けて内部不正・外部攻撃・人的ミスの3種類に大別できます。

近年特に増加傾向にあるのが社員や元社員による内部不正型の漏えいです。例えば退職直前に社内データを持ち出して転職先で不正利用するといったケースや、社内権限を悪用して顧客情報を盗み出し名簿業者へ売却する事件が発生しています。実際に、ある不動産会社では元従業員が在職中に顧客情報を社外のサーバーへアップロードし、転職先でダウンロードして利用していたことが発覚し、不正競争防止法違反容疑で逮捕されています。また別の事例では、システム管理者権限を持つ元派遣社員が10年以上にわたり取引先自治体等の個人情報合計900万件以上を不正に持ち出し名簿業者に売り渡していたことが明るみに出ました。この事件では管理体制の不備が指摘され、会社は行政指導を受ける事態となり、元社員も不正競争防止法違反で起訴されています。内部犯行は一度起これば被害範囲が極めて広くなりやすく、中小企業にとっても他人事ではありません。

一方、外部からのサイバー攻撃（マルウェア感染やランサムウェアによるデータ暗号化など）による情報漏えいリスクも高まっています。実際に国内でも、ランサムウェア攻撃により顧客データが流出しかけた協同組合や、病院の電子カルテが閲覧不能になる被害が報告されています。中小企業だから狙われないという保証はなく、むしろ大企業より防御が手薄な中小企業が標的にされる傾向すら指摘されています。

加えて、従業員のうっかりミス（PCやUSBメモリの紛失、メールの誤送信、クラウド設定ミスによる公開など）も情報漏えい原因の一定割合を占めます。例えば自治体業務の委託企業で、契約社員が申請者の個人情報を付箋に書き写して持ち出すという単純な方法で不正入手していた例もありました。このように、多様な経路で漏えいは発生し得るため、技術面・人の意識両面から網羅的な対策が必要です。

中小企業が直面する課題としては、まずリソース不足による情報セキュリティ対策の遅れが挙げられます。
実際、ある調査では中小企業の多数が営業秘密の持ち出し制御策を「特に何もしていない」と回答しており、その割合は製造業で84.1%、非製造業で78.6%にも上りました。この背景には、「自社のような小規模企業が狙われるわけがない」「うちは扱う情報もたいしたことがない」といった誤った思い込みや、専門知識を持つ人材の不足、予算確保の難しさなどがあると考えられます。

また、「何を営業秘密として指定すべきか」「どう管理すれば法の保護が受けられるか」が分からず、結果的に無防備な状態になってしまっているケースも少なくありません。さらに、情報漏えい発生後の対応体制（インシデント対応計画や報告手順）が整備されていない企業も多く、いざという時に適切な被害拡大防止・法令報告ができないリスクもあります。中小企業こそ日常的かつ継続的な対策が必要ですが、現実には場当たり的な対応にとどまっている場合が多いのが課題と言えるでしょう。

近年は行政も中小企業向けの支援策を強化しています。経済産業省や情報機構では営業秘密管理指針や中小企業向けハンドブックの提供、独立行政法人INPITによる「営業秘密110番」のような相談窓口整備、またサイバー保険の普及など、企業支援の取り組みが進んでいます。自社だけで難しい部分はこうした支援も活用しながら、まずは「自社のどの情報が営業秘密か」を把握して必要な管理策を講じることから始めるのが現実的です。

情報漏えいは一度起きれば長年にわたる法的紛争に発展することもあります（例：2014年発覚の大規模漏えい事件で、2023年になって企業に賠償命令が下りました）。平時から備えを万全にし、万一トラブルが生じた場合にも迅速に対応できるよう体制を整えておくことが、これからの中小企業経営に求められています。

まとめ

顧客情報をはじめとする営業秘密の漏えい防止は、中小企業にとって避けて通れない重要課題です。不正競争防止法上の営業秘密として法的に守るためには、秘密情報を自ら適切に管理することが大前提になります。そのため、関連法令（不正競争防止法や個人情報保護法）を正しく理解し、自社に合った社内体制やルールを構築しておくことが不可欠です。具体策として、社内規程の整備、従業員や取引先との契約、アクセス制御や暗号化などの技術的対策、従業員教育と意識向上といった多角的なアプローチで情報を守りましょう。

特に人的要因による漏えいリスクは軽視できないため、「人」「技術」「制度」のバランスが取れた対策が重要です。昨今の法改正動向や判例からもわかるように、情報管理における企業責任は一段と重くなっています。自社の営業秘密を守ることは、自社の価値と信用を守ることに他なりません。日々の業務の中で機密情報を大切に扱い、万全の備えで企業の発展と顧客の信頼を守っていきましょう。